Abo
  • Services:
Anzeige
In Drupal 7 ist eine schwere Sicherheitslücke.
In Drupal 7 ist eine schwere Sicherheitslücke. (Bild: Drupal)

Security: Schwere Sicherheitslücke in Drupal 7

Im Content-Management-System Drupal 7 ist eine schwere Sicherheitslücke, über die sich Angreifer Zugriff auf eine gesamte Webseite verschaffen können. Die Lücke ist in der API, die solche Angriffe eigentlich verhindern soll. Ein Update gibt es bereits.

Anzeige

Im weit verbreiteten Open-Source-CMS Drupal 7 ist eine schwere Sicherheitslücke, die es Angreifern erlaubt, ohne Authentifizierung die Kontrolle über das gesamte CMS zu erhalten. Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in der Abstraktions-API ist, die solche Angriffe eigentlich verhindern soll. Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt. Erst ein externes Sicherheitsunternehmen erkannte deren Brisanz.

Laut dem deutschen Sicherheitsunternehmen SektionEins lassen sich beliebige SQL-Eingaben ohne Authentifizierung über die Schwachstelle absetzen. Damit ließe sich die hinter der Abstraktions-API liegende Datenbank abfragen und manipulieren. Damit sind unter Umständen auch Benutzerdaten zugänglich, die auf die Webseite zugreifen. Es lässt sich aber auch PHP-Code einschleusen oder weitere Angriffe fahren. So könnte eine Webseite mit Malware infiziert werden, die über den Webbrowser eines Benutzers weitere Rechner infizieren könnte.

Brisanterweise existiert die Lücke in Drupal 7 wohl schon seit Monaten. Zumindest wurde sie im November 2013 ins Ticketsystem des CMS eingetragen. Allerdings erkannten die Entwickler dort nicht, wie gravierend die Schwachstelle ist. Erst als SektionEins Mitte September 2014 Alarm schlug, schlossen die Drupal-Entwickler die Schwachstelle. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat. Drupal ist recht weit verbreitet, Experten gehen davon aus dass die Software von etwa 900.000 Webseiten genutzt wird.


eye home zur Startseite
C_Logemann 19. Apr 2015

Gerade die Mitte Oktober 2014 geschlossene Sicherheitslücke konnte massiv ausgenutzt...

SvenK. 17. Okt 2014

Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen...

jt (Golem.de) 16. Okt 2014

Örks. Ein Zahlendreher. Danke für das Feedback.



Anzeige

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. Fresenius Medical Care Deutschland GmbH, St. Wendel
  3. über Robert Half Technology, Hamburg (Home-Office möglich)
  4. Kassenärztliche Vereinigung Hamburg, Hamburg


Anzeige
Spiele-Angebote
  1. 299,00€
  2. 349,99€
  3. (u. a. Battlefield 4 für 4,99€, Battlefield Hardline 4,99€, Battlefront 19,99€, Mirrors Edge...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Autonomes Fahren

    Suchmaschinenkonzern Yandex baut fahrerlosen Bus

  2. No Man's Sky

    Steam wehrt sich gegen Erstattungen

  3. Electronic Arts

    Battlefield 1 setzt Gold, aber nicht Plus voraus

  4. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  5. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  6. Browser

    Google Cast ist nativ in Chrome eingebaut

  7. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  8. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  9. Videocodec

    Für Netflix ist H.265 besser als VP9

  10. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 7 im Test: Schaut dir in die Augen, Kleine/r/s!
Galaxy Note 7 im Test
Schaut dir in die Augen, Kleine/r/s!
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. Gear IconX im Test Anderthalb Stunden Trainingsspaß

Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

  1. Re: Wie bescheuert muss man eigentlich sein

    rldml | 00:19

  2. Re: Macs mit zeitgemäßer Hardware

    picaschaf | 00:14

  3. Re: Conversations (XMPP Client) Downloadzahlen...

    lumines | 00:08

  4. Re: Open Source Treiber JETZT!

    cpt.dirk | 30.08. 23:58

  5. Re: Dauer der Anhörungen...

    1ras | 30.08. 23:57


  1. 17:39

  2. 17:19

  3. 15:32

  4. 15:01

  5. 14:57

  6. 14:24

  7. 14:00

  8. 12:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel